ผู้สื่อข่าวรายงานว่า ธนาคารแห่งประเทศไทย (ธปท.) ออกหนังสือเวียนเรื่องแนวโยบายการรักษาความมั่นคงปลอดภัยการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security ว่า ขณะนี้ภัยคุกคามทางไซเบอร์มีความหลากหลายและซับซ้อนมากขึ้น อาจส่งผลกระทบต่อการให้บริการและผู้ใช้ริการชำระเงินผ่านช่องทางอุปกรณ์เเคลื่อนที่ได้

ดังนั้นเพื่อยกระดับความมั่นคงปลอดภัยในการให้บริการชำระเงินผ่านช่องทางอุปกรณ์เคลื่อนที่ให้มีการป้องกันและควบคุมความเสี่ยงจากภัยคุกคามไซเบอร์ได้รัดกุม เพียงพอ ตามมาตรฐานสากล จึงได้ออกแนวนโยบายเป็นมาตรการควบคุมรักษาความมั่นคงปลอดภัยเชิงเทคนิค ประกอบด้วยมาตรการ 2 ระดับ คือ

1. มาตรการขั้นต่ำที่จำเป็นต้องดำเนินการเพื่อความรัดกุมด้านความมั่นคงปลอดภัยในการให้บริการ

2. มาตรการเพิ่มเติมที่อาจพิจารณาดำเนินการเพื่อให้เกิดความรัดกุมปลอดภัยยิ่งขึ้น

มาตรการขั้นต่ำ

1. ไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ที่เปิดสิทธิให้เข้าถึงระบบปฎิบัติการ (rooted/jailbroken) เข้าใช้งานแอปพลิเคชั่น เพื่อลดความเสี่ยงผู้ไม่ประสงค์ดี สามารถเข้าถึงข้อมูลสำคัญของผู้ใช้บริการ และละเมิดหรือหลีกเลี่ยงมาตรการรักษาความมั่นคงปลอดภัยที่ผู้ให้บริการกำหนดไว้

2. ไม่อนุญาตให้อุปกรณ์เคลื่อนที่ที่ใชระบบปฎิบัติการล้าสมัย (obsolete Operating System) มีช่องโหว่ร้ายแรงที่ประกาศจากหน่วยงานด้านความมั่นคงปลอดภัยที่เป็นสากล และกระทบการใช้งานของผู้ใช้บริการในวงกว้าง

ทั้งนี้ ในกรณีที่obsolete OS มีช่องโหว่ที่ไม่กระทบผู้ใช้บริการในวงกว้าง ควรมีมาตรการรองรับเพื่อลดความเสี่ยงของผู้ให้บริการและผู้ใช้บริการตามความเหมาะสม เช่น การแจ้งเตือนผู้ใช้บริการ การจำกัดวงเงินธุรกรรม และการเพิ่มมาตรการยืนยัน
ตัวตน

3.ขอสิทธิเข้าถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (application permission) บนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่าที่จำเป็น และมีกระบวนการทบทวนการขอสิทธิ์ดังกล่าวอย่างเป็นประจำ เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัว (privacy) ของผู้ใช้บริการ

. ป้องกัน source code ส่วนสำคัญไม่ให้รั่วไหลจากแอปพลิเคชัน เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดี

5. ป้องกันการฝังข้อมูลสำคัญ หรือ code ที่ไม่พึงประสงค์(malicious code) บนแอปพลิเคชัน

6.เข้ารหัสไฟล์ข้อมูล (files encryption) ที่จัดเก็บข้อมูลสำคัญบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล

7. ไม่อนุญาตให้ผู้ใช้บริการใช้แอปพลิเคชันเวอร์ชั่นต่ำกว่าที่ผู้ให้บริการกำหนด

8. ป้องกันการโจมตีในลักษณะ Distributed denial-of-service (DDoS Attack) ในระดับเครือข่าย (network layer)

9 . ป้องกันภัยจากการถูกดักจับหรือแก้ไขเปลี่ยนแปลงข้อมูลระหว่างการรับส่ง (Manin the Middle Attack) โดยยืนยันตัวตนด้วยเทคนิค Certificate Pinning หรือวิธีอื่นที่เทียบเท่า และการใช้ช่องทางสื่อสารที่ปลอดภัย (secure protocol) ในการรับส่งข้อมูล

10. ป้องกันการสวมรอยการเข้าใช้งานของผู้ใช้บริการ (Session Hijacking)

11. ป้องกันการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (server) โดยไม่ได้รับอนุญาต เพื่อลดความเสี่ยงจากข้อมูลรั่วไหลและระบบถูกโจมตี

12.ตรวจสอบและรับมือแอปพลิเคชันปลอมบนแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ (official e-Marketplace) เช่น Google Play Store, App Store เพื่อลด
ความเสี่ยงจากการที่ผู้ใช้บริการ download และติดตั้งแอปพลิเคชันปลอม

มาตรการเพิ่มเติม

1. ตรวจสอบการเปลี่ยนแปลงแก้ไขแอปพลิเคชัน เมื่อผู้ใช้บริการเข้าใช้งานในทันที(Anti-Tampering) เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหาย จากแอปพลิเคชันที่มีการดัดแปลงแก้ไขโดยฝัง malicious code ไว้

2. กำหนดให้ตั้งค่า PIN หรือ รหัสผ่านที่ซับซ้อน (PIN / password complexity) ในการเข้าใช้งานแอปพลิเคชันเพื่อให้ยากต่อการคาดเดา

3. แสดงผลข้อมูลผู้ใช้บริการบนแอปพลิเคชันอย่างรัดกุม เช่น การปิดบังข้อมูลสำคัญของผู้ใช้บริการ (sensitive data masking)

4. ป้องกันภัยคุกคามในระดับแอปพลิเคชัน (application layer) เช่น การเข้ารหัสข้อมูลสำคัญระหว่างรับ/ส่ง การป้องกัน DDOS Attack เพื่อยกระดับการป้องกันข้อมูลรั่วไหล หรือ ป้องกันระบบถูกโจมตีจนไม่สามารถให้บริการได้

5. ตรวจสอบและรับมือแอปพลิเคชันปลอมบน website อื่น นอกเหนือจากแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ (official e-Marketplace) เช่น บน darkweb เป็นต้น

ทั้งนี้ให้ใช้บังคับตั้งแต่วันที่ 31 ธ.ค.นี้ เป็นต้นไป

• Facebook
• Twitter
• Line